Что нового в поиске угроз
По сравнению с предыдущей версией, поиск угроз в Kaspersky EDR Expert 8.0 существенно изменился:
- Новый подход к пользовательским правилам IOA предусматривает создание пользовательских правил корреляции в корреляторе KUMA.
- Создание правил IOA на основе условий поиска событий больше не доступно.
- Для импорта правил IOA из файла IOC или файла YAML с правилом Sigma используется внешняя утилита.
- Для управления исключениями из правил IOA необходимо настроить фильтры событий в политиках для приложений Endpoint Agent.
- В Kaspersky EDR Expert используется новая модель данных для событий и новый синтаксис для поиска событий.
В начало